Remotezugriff auf IPsec-Gruppenauthentifizierung
Der Sophos Connect-Client unterstützt lokale und Active Directory (AD)-Benutzer und -Gruppen.
Wenn Sie den Remotezugriff auf IPsec VPN nicht konfiguriert haben, ist er standardmäßig für alle Gruppen deaktiviert.
Wenn Sie IPsec für den Remote-Zugriff konfiguriert haben, ist dieser standardmäßig für AD-Gruppen deaktiviert, die Sie in die Sophos Firewall importieren. Dies gilt auch für Gruppen, die Sie migrieren, beispielsweise von einer früheren Version der Sophos Firewall. Wenn Sie jedoch eine neue lokale Gruppe in der Sophos Firewall erstellen, ist der IPsec-Remote-Zugriff standardmäßig aktiviert.
Sie können diese Einstellung überprüfen unter Authentifizierung > Gruppen.
Das folgende Bild zeigt eine Gruppe mit deaktiviertem Remote-Zugriff auf IPsec.
Der Remote-Zugriff per IPsec-VPN erfolgt über den Sophos Connect Client. Wenn sich ein Remote-Benutzer, beispielsweise ein AD-Benutzer, zum ersten Mal beim Sophos Connect Client anmeldet, muss er sich zunächst bei einem anderen Authentifizierungsclient, beispielsweise dem Benutzerportal, anmelden.
Wenn ein Benutzer Mitglied mehrerer Gruppen ist, wird die Richtlinie der Gruppe am Anfang der Liste angewendet.
Wenn Sie die Einstellungen für eine Gruppe ändern, überschreiben diese die IPsec-Einstellungen für den Remotezugriff.
Wenn Sie den Remotezugriff per IPsec für eine Gruppe deaktivieren, werden alle Benutzer getrennt. Sie können die Verbindung nicht wiederherstellen und erhalten einen Authentifizierungsfehler.
Benutzerrichtlinien haben immer Vorrang vor Gruppenrichtlinien. Wenn Sie beispielsweise den Remotezugriff auf IPsec für eine AD-Gruppe deaktivieren und ihn dann für einen Benutzer in dieser Gruppe aktivieren, kann sich der Benutzer anmelden.
Notiz
Wenn Sie den Remotezugriff auf IPsec für eine Gruppe aktivieren, können Sie es für einen Benutzer in dieser Gruppe nicht deaktivieren.